Arbeiten mit Microsoft Entra Ressourcen in Microsoft Graph
Mit Microsoft Graph können Sie auf Microsoft Entra Ressourcen zugreifen, um Szenarien wie das Verwalten von Administratorrollen (Verzeichnisrollen), das Einladen externer Benutzer zu einem organization und, wenn Sie ein Cloud Solution Provider (CSP) sind, die Verwaltung der Daten Ihrer Kunden zu ermöglichen. Microsoft Graph bietet auch Methoden, die von Apps verwendet werden können, um beispielsweise Informationen über transitive Gruppen- und Rollenmitgliedschaften zu ermitteln.
Hinweis: Einige Microsoft Entra Ressourcen sind in anderen Abschnitten der API-Referenz dokumentiert. Weitere Informationen finden Sie unter Benutzer und Gruppen.
Authorization
Um die Microsoft Graph-APIs für Microsoft Entra Ressourcen aufzurufen, benötigt Ihre App die entsprechenden Berechtigungen. Viele der APIs, die auf Microsoft Entra Ressourcen verfügbar gemacht werden, erfordern eine der Verzeichnisberechtigungen. Verzeichnisberechtigungen sind hochprivilegiert und erfordern immer die Zustimmung des Administrators.
Wenn Ihre App im Namen eines Benutzers (delegierte Berechtigungen) handelt, muss dieser Benutzer wahrscheinlich Mitglied einer geeigneten Administratorrolle sein, damit Ihre App viele der Microsoft Entra-APIs erfolgreich aufrufen kann.
Weitere Informationen zu Berechtigungen, einschließlich delegierten und Anwendungsberechtigungen, finden Sie unter Berechtigungen.
Allgemeine Anwendungsfälle
In der folgenden Tabelle sind einige gängige Anwendungsfälle für Microsoft Entra Ressourcen aufgeführt.
Anwendungsfälle | REST-Ressourcen | Siehe auch |
---|---|---|
Verzeichnisobjekt und Methoden | ||
directoryObject ist die Basisklasse, von der viele Verzeichnisressourcen wie Benutzer und Gruppen erben. Microsoft Graph macht mehrere Methoden verfügbar, mit denen Sie Informationen zu Benutzern, Gruppen und anderen Verzeichnisobjekten ermitteln können. Sie können beispielsweise überprüfen, ob eine transitive Mitgliedschaft in einer Liste von Gruppen vorhanden ist, alle Gruppen und Verzeichnisrollen zurückgeben, von denen ein Verzeichnisobjekt ein transitives Mitglied ist, oder alle Ressourcen eines angegebenen Typs (z. B. Benutzer oder Gruppe) aus einer Liste generischer Ressourcen-IDs abrufen. |
directoryObject | Nicht zutreffend |
Verwalten von Verzeichnisrollen (Administratorrollen) | ||
Aktivieren Von Verzeichnisrollen in einem Microsoft Entra Mandanten und Verwalten von Benutzermitgliedschaften in Verzeichnisrollen. Verzeichnisrollen werden auch als Administratorrollen bezeichnet. | directoryRole directoryRoleTemplate |
Zuweisen Microsoft Entra Administratorrollen |
Vordefinierte Gruppeneinstellungen mandantenweit oder für einzelne Ressourceninstanzen anwenden. Gruppeneinstellungen steuern Verhalten wie blockierte Wortlisten für Gruppenanzeigenamen, ob Gastbenutzer Gruppenbesitzer sein können und vieles mehr. | groupSetting groupSettingTemplate |
Microsoft Entra Cmdlets zum Konfigurieren von Gruppeneinstellungen |
Verwalten von Geräten | ||
Verwalten Sie Geräte, die in der Organisation registriert sind. Geräte sind für Benutzer registriert und umfassen Elemente wie Laptops, Desktops, Tablets und Mobiltelefone. Geräte werden in der Regel mithilfe des Geräteregistrierungsdiensts oder von Microsoft Intune in der Cloud erstellt. Sie werden von Richtlinien für bedingten Zugriff für mehrstufige Authentifizierung verwendet. | device | Erste Schritte mit Microsoft Entra Geräteregistrierung. Was ist Intune? Registrieren von Geräten für die Verwaltung in Intune |
Verwaltung von Partnermandanten | ||
Abrufen von Informationen über Partnerschaften mit Kundenmandanten. Hinweis: Dies gilt nur für Partnermandanten. Partnermandanten sind Microsoft Entra Mandanten, die Microsoft-Partnern angehören, die entweder Teil des Microsoft Cloud Solution Provider-, Office 365 Syndication- oder Microsoft Advisor-Partnerprogramms sind. |
contract | Aufrufen von Microsoft Graph aus einer Anwendung eines Cloud-Lösungsanbieters |
Verwalten von Domänen, die einem Mandanten zugeordnet sind. Domänenvorgänge ermöglichen Es Registrierungsstellen, die Domänenzuordnung für Dienste wie Microsoft 365 zu automatisieren. | domain | Hinzufügen eines benutzerdefinierten Domänennamens zu Microsoft Entra ID |
Verwaltung von Mandanten | ||
Rufen Sie Informationen über eine Organisation ab, z. B. die Unternehmensadresse, Kontakte für technische Fragen und Benachrichtigungen, die Dienstpläne, die die Organisation abonniert hat, sowie die Domänen, die mit dieser verknüpft sind. | organization | Nicht zutreffend |
Ruft Informationen zu den Dienst-SKUs ab, die ein Unternehmen abonniert hat. | subscribedSku | Nicht zutreffend |
Einladen externer (Gast)Benutzer zu einer Organisation. | invitation | Was ist Microsoft Entra B2B-Zusammenarbeit? |
Verwalten Sie das Branding für die Anmeldungserfahrung einer Organisation. | organizationalbranding | Hinzufügen von Branding zur Microsoft Entra Anmeldeseite Ihres organization |
Zustimmungsanforderungen | ||
Verwalten Sie den Workflow für Zustimmungsanforderungen für Benutzer, die versuchen, auf Apps zuzugreifen, für die Administratorautorisierung erforderlich ist. | API für Zustimmungsanforderungen | Konfigurieren des Workflows zur Administratorzustimmung |
Nächste Schritte
Verzeichnisressourcen und APIs können Ihnen neue Möglichkeiten eröffnen, mit Benutzern in Kontakt zu treten und deren Erfahrungen mit Microsoft Graph zu verwalten. So erhalten Sie weitere Informationen:
- Informieren Sie sich ausführlicher über die Methoden und Eigenschaften der Ressourcen, die für Ihr Szenario am hilfreichsten sind.
- Probieren Sie die API im Graph-Tester aus.
Feedback
https://aka.ms/ContentUserFeedback.
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter:Feedback senden und anzeigen für